下一代防火墙“new”在哪里？

　　NGFW能否替代FW、IPS、UTM

　　众所周知，传统防火墙在上个世纪90年代就已经得到了广泛应用，种类也比较多。而UTM概念是2004年IDC发表的，NGFW的概念是2009年Gartner发表的。新的网络环境下，出现了哪些新的安全威胁，用户安全需求又在如何转变，传统的安全设备如何变得愈加无力。

　　对此，梭子鱼产品经理潘渊告诉记者，传统防火墙只能提供一般意义上的数据包转发和拦截功能，以及一些简单的包检测机制。UTM和传统防火墙相比，确实增加了很多过滤功能，包括应用层的识别和过滤。但是UTM的致命缺陷是由于采用串行扫描方式，处理效率低下。即便是增加了单点解决方案，能提供对email业务、Web应用、远程接入、即时通讯软件等病毒防护，但运营成本也会大幅度提高。而NGFW采用了高效的并行处理机制，并集成了网络安全、内容安全以及基于七层应用管理的网络接入控制保护能够抵御来自应用层的攻击，有效解决UTM的本质缺陷。

　　UTM诞生是因为早期的网络防火墙在IPS、反病毒、防恶意代码、反垃圾邮件等功能的缺失，而在其基础上堆砌了这些功能，迈克菲中国区网关安全产品总监郭伟强调说，UTM产品的本质仍然是基于传统网络防火墙架构的过渡性产品，其底层架构与传统网络防火墙无异。

　　“NGFW更注重在Web2.0时代的客户体验，比如采用客户化的GUI，多核CPU并发处理等。随着企业的发展，需要更主动，更直观，更定制化，性能更高的安全产品，这是NGFW的特点。对于企业来说，NGFW更贴合现有网络环境，对企业业务保护更加全面。”天融信方案与推广副总裁刘辉说。

　　各大厂商几乎不约而同的说到，不论是传统防火墙还是UTM，已无力应对Web2.0交换式多种应用场景下的实时变化的安全威胁。在记者问到NGFW将是网络防火墙、IPS、UTM的替代品吗的问题时。瞻博网络大中国区产品市场经理谭俊直言道，“是的，这是一个基于新一代架构和理念不断创新和演进的过程。” 深信服市场行销部技术总监殷浩表示，传统防火墙、UTM由于低廉的采购成本，在少数简单网络环境还是会成为用户的一种选择。但最终面对用户的应用层安全需求，FW、UTM终将不断演进到NGFW的产品形态。迈克菲中国区网关安全产品总监郭伟的回答更为保守，他认为，对于一些安全要求比较低的网络环境比如企业的访客网络，非核心业务网络等，传统网络防火墙还是有其应用需求的，并且可以和NGFW实现梯次配置，实现差异化分层防护。IPS产品的优势在于利用签名技术对网络流量进行快速、无时延的检索，要求其有高转发率特性，擅长检索已知网络威胁，防止DDos攻击等，因而与NGFW相比有各自不同的关注重点。但在谈到UTM时，郭伟认为，凡是UTM能够部署的地方， NGFW都可以无缝替换，更加之UTM一直存在性能瓶颈，所以UTM产品最终会为NGFW所取代。启明星辰边界安全产品部副经理马骏则特别强调了NGFW对上网行为管理市场的冲击，马骏认为，NGFW最终会替代上网行为管理产品，与FW、UTM和IPS产品会形成新的市场布局，并形成相对长期竞争态势，相互功能也会不断融合，与各种形态的网关产品市场形成比较理性的布局。